גאווה מפוקפקת: ישראל – בין המובילות באירוח שרתי פיקוד ושליטה למתקפות DDoS

ישראל נמצאת בין המדינות המובילות באירוח שרתי פיקוד ושליטה לביצוע מתקפות מניעת שירות מבוזרות (DDoS) – כך עולה מדו"ח של מעבדת קספרסקי (Kaspersky Lab). הדו"ח סוקר מתקפות DDoS שנעזרות בבוטנטים (Botnet), שבוצעו ברבעון השני של השנה הנוכחית. ככלל, על פי הנתונים, מספר המתקפות עולה זה הרבעון השני ברציפות.

החוקרים מצאו כי ברזיל, איטליה וישראל היו בין המדינות המובילות באירוח שרתי הפיקוד והשליטה המשמשים למתקפות אלה ומספר השרתים שנמצאים בהן כמעט ושילש את עצמו לעומת הרבעון הראשון של השנה. דרום קוריאה נותרה המובילה הברורה בתחום, והיא אחראית ל-69.6% מהם. סין מדורגת שנייה, והרחק מאחור, עם "נתח שוק" של 8.1%. שלישית ארצות הברית עם 7.1%, כשלאחריה רוסיה (4.5%) וברזיל (2.3%). ישראל ואיטליה, שכאמור – גם הן נכללות ב-10 הראשונות ברשימה המפוקפקת – אוחזות ב-"נתח שוק" של 1% כל אחת.

יצוין כי שלוש המדינות הגדולות אחזו ב-"נתח' קבוע וגדול – 84.8% מכלל המתקפות.

כמו כן, חל גידול משמעותי במספר המתקפות על משאבים שממוקמים בשרתים סיניים. במהלך הרבעון השני השנה, מתקפות DDoS השפיעו על משאבים ב-70 מדינות, כשמטרות בסין היו היעד של רובן – 77.4%. גרמניה וקנדה צנחו מדירוג 10 המדינות המותקפות ביותר והוחלפו על ידי צרפת והולנד.

על פי הדו"ח, ברבעון זה נצפה גידול במשך הזמן של מתקפות ה-DDoS. בעוד ששיעור המתקפות שנמשכו עד ארבע שעות צנח מ-68% ברבעון הראשון ל-60% בזה השני, שיעור המתקפות הארוכות יותר גדל משמעותית: אלה מהן שנמשכו 20-49 שעות היוו 9% מסך המתקפות לעומת 4% ברבעון הקודם. מתקפות שנמשכו בין 50 ל-99 שעות היוו 4% בהשוואה ל-1%, בהתאמה.

פעמיים כי רע

מתקפת ה-DDoS הארוכה ביותר ברבעון השני של 2016 נמשכה 291 שעות – מעט יותר מ-12 ימים. מדובר בהפרש משמעותי מהאירוע הארוך ביותר ברבעון הראשון של השנה, שנמשך שמונה ימים.

בהיבט הכמותי, פעילות מתקפות ה-DDoS הייתה אחידה יחסית ברבעון האמור, עם הפוגה מסוימת מסוף אפריל עד סוף מאי. שני שיאים בהיקף האירועים קרו ב-29 במאי וב-2 ביוני. מספר השיא של מתקפות ביום אחד נרשם ב-6 ביוני – 1,676.

עוד מעלה הדו"ח שיום שלישי היה היום הפעיל ביותר של השבוע – 15.2% מהמתקפות בוצעו ביום זה. אחריו בדירוג נמצא יום שני עם 15%. יום ראשון הפך להיות היום השקט ביותר של השבוע – "רק" 13% בוצעו בו.

מבין סוגי המתקפות, ה-SYN DDoS הוא תרחיש התקיפה הנפוץ ביותר, עם נתח של 76%. סוג מתקפות זה אף חווה גידול של פי 1.4 בהשוואה לרבעון הראשון של השנה. סוגים נפוצים הם ה-TCP DDoS וה-HTTP DDoS. השינוי בהרכב המתקפות, לפי החוקרים,  נובע בעיקר מהעובדה שאחוז המתקפות מבוטנטים של Linux כמעט שהוכפל, ועמד על 70.2%. המשמעות היא שבוטים של Linux הם הכלי היעיל ביותר עבור SYN DDoS. זו הפעם הראשונה בה מודיעין ה-DDoS של קספרסקי רשם חוסר איזון שכזה בין בוטים מבוססי Linux לבוטים מבוססי Windows.

"שרתי Linux מכילים לעתים קרובות פרצות ללא הגנה של פתרון אבטחה אמין, דבר שהופך אותם לפגיעים עבור בוטים ולכלי נוח עבור בעלי בוטנטים", אמר אולג קופריב, אנליסט קוד זדוני במעבדת קספרסקי. "מתקפות המבוצעות על ידי בוטנטים מבוססי Linux הן פשוטות אך יעילות. הן יכולות להימשך שבועות, כאשר לבעלים של השרת אין מושג שהוא המקור למתקפה".

"יתירה מכך", ציין קופריב, "באמצעות שימוש בשרת אחד, עברייני סייבר יכולים לבצע מתקפה ששווה בעוצמתה למאות מחשבים אישיים יחדיו. זו הסיבה שחברות צריכות להיות מוכנות מראש לתרחיש שכזה, להבטיח הגנה אמינה נגד מתקפות DDoS בכל רמת מורכבות ולאורך זמן".